Categories: SicherheitVirus

45.000 infizierte Geräte: Neue Android-Malware übersteht auch Factory Reset

In den vergangenen sechs Monaten hat sich eine neue Android-Malware auf rund 45.000 Geräten eingenistet. Der xHelper genannte Schädling, der seitdem unter anderem von Malwarebytes und Symantec untersucht wurde, hat eine sehr lästige Besonderheit: Selbst wenn ein infiziertes Smartphone oder Tablet auf die Werkseinstellungen zurückgesetzt wird, kann sich xHelper erneut installieren.

Symantec fand nun heraus, dass die Schadsoftware derzeit rund 131 neue Opfer täglich findet und somit jeden Monat weitere 2400 Geräte befällt. In erster Linie soll sich xHelper in Indien, den USA und Russland verbreiten.

Die Verbreitung erfolgt laut Malwarebytes über Weiterleitungen, die Nutzer zu Websites mit Installationsdateien für Android-Apps führen und mit Anleitungen für Sideloading dazu verleiten, diese Apps auf ihren Geräten zu installieren. In diesen Apps enthaltener Code lädt schließlich xHelper herunter.

Die Analysen von Malwarebytes und Symantec ergaben zudem, dass xHelper vor allem für die Einblendung von Pop-up-Anzeigen und Spam-Benachrichtigungen benutzt wird – einem Smartphone an sich also nicht schadet. Benachrichtigungen und Anzeigen leiten Nutzer wiederum in den Play Store, um weitere Apps zu installieren, wofür die Hintermänner wiederum eine Provision erhalten.

Um seine Löschung zu verhindern, was xHelper von anderen Android-Schädlingen unterscheidet, richtet er sich als eigenständiger Dienst ein. Nutzer können die eigentliche App zwar deinstallieren, nicht aber den Dienst, der weiterhin die Funktionen der App ausführt, sprich unerwünschte Werbung einblendet.

Auch eine Löschung des xHelper-Diensts funktioniert nicht, da sich die Malware erneut installieren kann. Das schafft sie auch nach einem Factory Reset, bei dem eigentlich alle vom Nutzer erzeugten Daten, also auch Schadsoftware, entfernt werden sollten.

Unklar ist derzeit noch, wie xHelper es schafft, das Zurücksetzen auf die Werkseinstellungen zu überleben. Malwarebytes und Symantec schließen bisher lediglich aus, dass xHelper Systemdienste oder System-Apps manipuliert. Symantec hält es zudem für unwahrscheinlich, dass xHelper bereits vor der Auslieferung auf Android-Geräte gelangt.

Berichten von Nutzern zufolge ist xHelper auch in der Lage, die Einstellung für das Installieren von Apps aus unbekannten Quellen zu aktivieren. Unter Umständen sollen jedoch kostenpflichtige Versionen einiger Sicherheitsanwendungen xHelper entfernen können – anderen Usern gelang dies jedoch nicht.

Symantec geht zudem davon aus, dass xHelper kontinuierlich weiterentwickelt wird. Deswegen scheiterten Sicherheitsanwendungen immer wieder bei der Löschung der Malware.

Sorgen bereitet Malwarebytes und Symantec zudem eine bisher nicht genutzte Funktion von xHelper. Der Schädling kann nämlich weitere Apps herunterladen und installieren. Es wäre also möglich, dass Cyberkriminelle xHelper künftig nutzen, um beispielsweise Ransomware oder Banking-Trojaner einzuschleusen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

1 Stunde ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

20 Stunden ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

20 Stunden ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

23 Stunden ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

2 Tagen ago

Lichtgeschwindigkeit für generative KI

Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…

2 Tagen ago